6008 和 1001 事件表明該計算機在沒有關機的情況下被切斷電源，或因為被鎖定而重新啟動，或碰到了一個停止錯誤。假如存在 1001 事件，說明發(fā)生了一個停止錯誤，其中包含相關的調試信息和對該調試文件的引用。

EventCombMT 工具返回的這些事件應使用已知的宕機時間進行交叉檢查，不匹配的事件應加以研究，以確保該服務器沒有被攻擊。

EventCombMT 包括幾個預先配置的搜索，可用于搜索安全事件。例如，有一個預定義的搜索可搜索帳戶鎖定事件。

• 使用 EventCombMT 搜索帳戶鎖定

1.
在 EventCombMT 工具中，確保該域配置了正確的域名。

2.
在該域名下面的“Select to Search/Right Click to Add”（選擇進行搜索/右鍵單擊進行添加）框中，右鍵單擊該框，然后單擊“Get DCs in Domain”（獲取域中的 DC）。

3.
右鍵單擊“Select to Search/Right Click to Add”（選擇進行搜索/右鍵單擊進行添加）框，然后單擊“Select All Servers in List”（選擇列表中的所有服務器）。

4.
從“Searches”（搜索）菜單中，單擊“Built In Searches”（內置搜索），然后單擊“Account Lockouts”（帳戶鎖定）。EventCombMT 實用程序的配置方式如下圖所示：

5.
單擊“Search”（搜索）。

6.
完成搜索時，可在日志目錄中查看結果，該目錄應在搜索完成時自動打開。



注重：包括在 EventcombMT 中的其他預定義搜索分別是文件復制服務搜索、Active Directory 搜索，尋找是否有重復 SID 和 NETLOGON DNS 注冊失敗、硬盤錯誤以及 DNS 接口錯誤。您還可以定義和保存自定義的搜索。

Contoso 在嘗試診斷問題或在事件響應過程中確定問題原因時，會使用 EventCombMT。另外，Contoso 還定期檢查所有域控制器上是否存在帳戶鎖定或錯誤密碼。這樣的操作有助于手動識別監(jiān)視系統(tǒng)可能不能檢測的任何希奇模式。

事件收集
審核的主要目標之一是識別攻擊者在網絡上采取的操作。攻擊者可能嘗試破壞網絡上的多個計算機和設備。因此，要了解任何攻擊的程度，必須能整理和合并來自很多計算機的信息。

假如日志實用程序將導入數據庫中，整理來自多個日志的信息較為簡單。只要所有計算機上的時間同步，就可以根據時間字段進行排序，這就使根據時間間隔進行跟蹤事件變得非常簡單。

下面幾節(jié)內容簡要講述了一些工具和實用程序，可使用這些工具和實用程序將事件日志信息收集到一個中心位置。

腳本

可以編寫一些腳本來從多個遠程計算機收集事件日志信息，并將這些信息存儲在一個集中的位置。通過使用腳本，可選擇何時使用“任務計劃”運行腳本，一次采取什么操作即可將事件日志成功復制到集中的位置。

一個簡單的示例為，創(chuàng)建一個使用“Windows 2000 Server Resource Kit”中的 Dumpel.exe 的批處理文件，然后通過“控制面板”中的“任務計劃”定期啟動該批處理文件。

“Windows 2000 Resource Kit, Supplement One”中包括 Eventquery.pl。這是一個 Perl 腳本，可顯示運行 Windows 2000 的本地計算機和遠程計算機上的“事件查看器”中的事件，并提供了很多篩選器，可幫助您查找特定的事件。

注重：要使用這個腳本，需安裝“Windows 2000 Server Resource Kit”中的 ActivePerl。

Contoso 當前不使用事件收集解決方案。但預期會使用 Microsoft Audit Collection System (MACS)，該系統(tǒng)將在第二年發(fā)布。MACS 是一種安全事件收集工具，它利用壓縮、簽名和加密的安全方式收集事件。收集事件之后，這些事件將加載到 SQL 數據庫中，并進行優(yōu)化以供分析。

Microsoft Operations Manager

Microsoft Operations Manager (MOM) 2000 是一種高級工具集，使企業(yè)能完整分析 Windows 2000 及其應用程序的內置事件報告和性能監(jiān)視。MOM 2000 使用遠程計算機上的 Intelligent Agent 將事件和性能數據收集、存儲并報告到單獨的位置，使治理員可集中復查收集的信息。

查看更多 動易Cms教程  動易Cms模板